---

Hej NG!

Når man tager backup med scp, så bliver man promtet for et password, kan man
ikke sætte en parameter eller lignende på, så man kan definere det forud?

Det er jo ikke særligt smart hvis man vil lave et cron-job der skal tage
backup om natten, og at man så skal stå op for at skrive et password...

Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange porte,
da det skal gennem firewall!)..

På forhånd tak..

Mvh. Allan

---

"Allan Johansen" <AllanJ@post.cybercity.dk> writes:

> Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange porte,
> da det skal gennem firewall!)..

Lav en ssh-nøgle uden passphrase (eller nærmere med tom
passphrase). Se ssh-keygen(1).

--
Emacs er det eneste moderne styresystem der ikke er multitrådet.

---

Ja, jeg har prøvet at lavet sådan en passphrase uden adgangskode... men ved
ikke hvad jeg skal gøre ved den?

"Peter Makholm" <peter@makholm.net> wrote in message
news:873cxn62d0.fsf@xyzzy.adsl.dk...
> "Allan Johansen" <AllanJ@post.cybercity.dk> writes:
>
> > Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange
porte,
> > da det skal gennem firewall!)..
>
> Lav en ssh-nøgle uden passphrase (eller nærmere med tom
> passphrase). Se ssh-keygen(1).
>
> --
> Emacs er det eneste moderne styresystem der ikke er multitrådet.

---

Allan Johansen skrev:

> Når man tager backup med scp, så bliver man promtet for et
> password, kan man ikke sætte en parameter eller lignende på,
> så man kan definere det forud?

Man kan installere keychain¹ - så skal der kun indtastes password én
gang pr. reboot.


// Klaus

¹) <http://www.gentoo.org/projects/keychain/>
--
><>    vandag, môre, altyd saam

---

Allan Johansen wrote:

> Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange
> porte, da det skal gennem firewall!)..

rsync over ssh

--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk

---

DUdsen wrote:

> rsync over ssh


eller tar over ssh:

( ssh user@hostname tar cvzf - /path/to/backup ) > `date
+"%y%m%d"`-backup.tgz

---

"DUdsen" <dudsen@gjk.dk> wrote in message
news:1019502302.140605@kalvebod.groenjord.dk...
> Allan Johansen wrote:
>
> > Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange
> > porte, da det skal gennem firewall!)..
>
> rsync over ssh

Jeg mener helt bestemt ikke det fritager een for at blive authenticated.

Christian

---

Christian Rishoej wrote:

>
> "DUdsen" <dudsen@gjk.dk> wrote in message
> news:1019502302.140605@kalvebod.groenjord.dk...
>> Allan Johansen wrote:
>>
>> > Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange
>> > porte, da det skal gennem firewall!)..
>>
>> rsync over ssh
>
> Jeg mener helt bestemt ikke det fritager een for at blive authenticated.

mig der ikke lige læser min manual man har kun muglighed for at angive
pasword på forhånd når man snakker til en rsync server.

--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk

---

Allan Johansen wrote:

> Hej NG!
>
> Når man tager backup med scp, så bliver man promtet for et password, kan
> man ikke sætte en parameter eller lignende på, så man kan definere det
> forud?

fik vist lige sendt det andet indlag et par sekunder for hurtigt
Du kan pakke det hele ind i et expect script der overtager rollen som dig
og skriver passwd ind

--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk

---

"DUdsen" <dudsen@gjk.dk> wrote in message
news:1019502722.423376@kalvebod.groenjord.dk...
> Allan Johansen wrote:
>
> > Hej NG!
> >
> > Når man tager backup med scp, så bliver man promtet for et password, kan
> > man ikke sætte en parameter eller lignende på, så man kan definere det
> > forud?
>
> fik vist lige sendt det andet indlag et par sekunder for hurtigt
> Du kan pakke det hele ind i et expect script der overtager rollen som dig
> og skriver passwd ind

Det er i virkeligheden maaske ikke den aller paeneste maade at goere det
paa, naar nu man har lagt saa stor vaegt paa brugerinteraktion i forbindelse
med password authentication i designet og implementationen af SSH.

Det Allan Johansen boer foretage sig er vel foelgende:

* Generer et noeglepar paa den lokale maskine:

ssh_keygen -t dsa

* Konkatener den offentlige noegle med listen over godkendte noegler paa
serveren:

scp ~/.ssh/id_dsa.pub server.domain.dk/
ssh bruger@server.domain.dk
cat ~/id_dsa.pub >> ~/.ssh/authorized_keys2

Saa skulle man kunne lave SSH-forbindelsen til serveren uden
brugerinteraktion, og uden at ens password staar til udstilling i clear text
i et eller andet arbitraert script (forudsat at SSH paa serveren ikke er sat
alt for restriktivt op).

Venligst,
Christian

---

Christian Rishoej wrote:

>
> "DUdsen" <dudsen@gjk.dk> wrote in message
> news:1019502722.423376@kalvebod.groenjord.dk...
>> Allan Johansen wrote:
>>
>> > Hej NG!
>> >
>> > Når man tager backup med scp, så bliver man promtet for et password,
>> > kan man ikke sætte en parameter eller lignende på, så man kan definere
>> > det forud?
>>
>> fik vist lige sendt det andet indlag et par sekunder for hurtigt
>> Du kan pakke det hele ind i et expect script der overtager rollen som dig
>> og skriver passwd ind
>
> Det er i virkeligheden maaske ikke den aller paeneste maade at goere det
> paa, naar nu man har lagt saa stor vaegt paa brugerinteraktion i
> forbindelse med password authentication i designet og implementationen af
> SSH.

Men det virker.

> Det Allan Johansen boer foretage sig er vel foelgende:
>
> * Generer et noeglepar paa den lokale maskine:
>
> ssh_keygen -t dsa
>
> * Konkatener den offentlige noegle med listen over godkendte noegler paa
> serveren:
>
> scp ~/.ssh/id_dsa.pub server.domain.dk/
> ssh bruger@server.domain.dk
> cat ~/id_dsa.pub >> ~/.ssh/authorized_keys2
>
> Saa skulle man kunne lave SSH-forbindelsen til serveren uden
> brugerinteraktion, og uden at ens password staar til udstilling i clear
> text i et eller andet arbitraert script (forudsat at SSH paa serveren ikke
> er sat alt for restriktivt op).

Men det giver vel i teorien ikke større sikkerhed en et script hvor kun
root og brugeren har læserettighed til.
i begge tilfælde vil adgang til brugerens konto skulle værre kompromiteret
for at den kan udnyttes og i begge tilfælde vil det give en andgriber
adgang til fjernsystemet.

--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk

---

Den Wed, 24 Apr 2002 17:53:10 +0200 skrev DUdsen:
>Christian Rishoej wrote:
>
>> Saa skulle man kunne lave SSH-forbindelsen til serveren uden
>> brugerinteraktion, og uden at ens password staar til udstilling i clear
>> text i et eller andet arbitraert script (forudsat at SSH paa serveren ikke
>> er sat alt for restriktivt op).
>
>Men det giver vel i teorien ikke større sikkerhed en et script hvor kun
>root og brugeren har læserettighed til.
>i begge tilfælde vil adgang til brugerens konto skulle værre kompromiteret
>for at den kan udnyttes og i begge tilfælde vil det give en andgriber
>adgang til fjernsystemet.

1. Din SSH-key er 1024 bit. et 8-tegns password er maksimalt 64 bit, men
en del kombinationer kan udelukkes på forhånd, så vi kommer længere ned.

2. Der kommer et program mere ind i billedet. SSH _skal_ være sikker, så
den er der mange der checker for sikkerhedshuller. Hvormange checker for
sikkerhedshuller i expect?

Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)

---

Kent Friis wrote:

> Den Wed, 24 Apr 2002 17:53:10 +0200 skrev DUdsen:
>>Christian Rishoej wrote:
>>
>>Men det giver vel i teorien ikke større sikkerhed en et script hvor kun
>>root og brugeren har læserettighed til.
>>i begge tilfælde vil adgang til brugerens konto skulle værre kompromiteret
>>for at den kan udnyttes og i begge tilfælde vil det give en andgriber
>>adgang til fjernsystemet.
>
> 1. Din SSH-key er 1024 bit. et 8-tegns password er maksimalt 64 bit, men
> en del kombinationer kan udelukkes på forhånd, så vi kommer længere ned.

Ja løsener er generelt usikre da de kan gættes.
Men det er løsenets ukompliceret hed og ikke det at det gemmes i plain text
der gør det usikert det faktum at løsenet sansynligvis gælder til en del
andre maskiner gør heller ikke sagen bedre. Men det er først efter at
systemet er kompromiteret at løsenet kan læses og det er ikke sværere at
læse et løsen end at stjæle en key.

> 2. Der kommer et program mere ind i billedet. SSH _skal_ være sikker, så
> den er der mange der checker for sikkerhedshuller. Hvormange checker for
> sikkerhedshuller i expect?

absolut ingen men på den anden side hvordan ville du bruge et expect script
der vekselvirke med ssh til at skaffe dig adgang det er ikke en server
expect snakker ikke direkte til netværket o.s.v.

--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk

---

"Allan Johansen" <AllanJ@post.cybercity.dk> writes:

> Hej NG!
>
> Når man tager backup med scp, så bliver man promtet for et password, kan man
> ikke sætte en parameter eller lignende på, så man kan definere det forud?
>
> Det er jo ikke særligt smart hvis man vil lave et cron-job der skal tage
> backup om natten, og at man så skal stå op for at skrive et password...
>
> Hvad er alternativ ellers? (skal være sikkert og ikke åbne for mange porte,
> da det skal gennem firewall!)..

En mulighed:

Sæt ssh op med publickey auth + tom passphrase. Så spørger scp ikke om
password.

--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907